Users Guide

ManualsBrandsDell ManualsActive System ManagerDRAC5 Version 1.50

201

202

203

204

205

206

207

208

209

210

ZurückzumInhaltsverzeichnis

 Kerberos-Authentifizierung aktivieren

Dell™RemoteAccessController5Firmware-Version 1.50, Benutzerhandbuch

Voraussetzungen zum Einrichten von Kerberos- Authentifizierung

DRAC5fürKerberos-Authentifizierung konfigurieren

Kerberos ist ein Netzwerk-Authentifizierungsprotokoll,dasSystemenermöglicht,aufsichereWeiseübereinungesichertesNetzwerkzukommunizieren.Dazu

wirddenSystemenerlaubt,derenAuthentizitätzubeweisen.

Microsoft

Windows

2000, Windows XP, Windows Server

2003, Windows Vista

und Windows Server 2008 verwenden Kerberos als Standard-

Authentifizierungsmethode.

BeginnendmitDRAC5Version1.40verwendetDRAC5KerberoszurUnterstützungvonzweiArtenvonAuthentifizierungsmechanismen- Einfache Anmeldung

und Active Directory

-Smart Card-Anmeldung. Bei der einfachen Anmeldung verwendet DRAC 5 die im Betriebssystem zwischengespeicherten

AnmeldeinformationendesBenutzers,nachdemsichderBenutzerunterVerwendungeinesgültigenActiveDirectory-Kontos angemeldet hat.

Beginnend mit DRAC 5 Version 1.40 verwendet Active Directory-Authentifizierung die auf der Smart Card basierende Zweifaktorauthentifizierung (TFA)

zusätzlichzurBenutzername-Kennwort-KombinationalsgültigeAnmeldeinformationen.

Voraussetzungen zum Einrichten von Kerberos- Authentifizierung

l KonfigurierenSieDRAC5fürdieActiveDirectory-Anmeldung.WeitereInformationenfindenSieunter"Active Directory zum Anmelden an DRAC 5

verwenden".

l FürActiveDirectory-Benutzer,fürdieSieKerberos-Authentifizierungbereitstellenmöchten,müssenSiediefolgendenEigenschaftenfestlegen:

l DES-VerschlüsselungstypenfürdiesesKontoverwenden

l Keine Kerberos-Vorauthentifizierung vorschreiben

l RegistrierenSieDRAC5alsComputerinderActiveDirectory-Root-Domäne.

a. Wechseln Sie zu Remote-Zugriff® Register Konfiguration® Unterregister Netzwerk® Netzwerkeinstellungen.

b. GebenSieeinegültigeIP-AdressefürBevorzugter/Statischer DNS- Server an. Dieser Wert ist die IP-Adresse des DNS als Teil der Root-

Domäne,welchedieActiveDirectory-Konten der Benutzer authentifiziert.

c. WählenSieDRAC auf DNS registrieren aus.

d. GebenSieeinengültigenDNS-Domänennamenan.

Weitere Informationen finden Sie in der DRAC5-Online-Hilfe.

l Synchronisieren Sie die DRAC 5-Zeiteinstellungen mit denen des Active Directory-Domänen-Controllers. Die Kerberos-AuthentifizierungbeiDRAC5

schlägtfehl,wenndieDRAC-ZeitvonderZeitdesDomänen-Controllersabweicht.EsisteinmaximalerUnterschiedvon5Minutenzulässig.Umdie

erfolgreicheAuthentifizierungzuermöglichen,synchronisierenSiedieServerzeitmitderZeitdesDomänen-ControllersundführendanneinenReset der

DRAC-Zeit durch.

SiekönnenauchdenfolgendenRACADM-Zeitzonenabweichungsbefehl verwenden, um die Zeit zu synchronisieren:

racadm config -g cfgRacTuning -o

cfgRacTuneTimeZoneOffset Offset-Wert

Offset-WertistdieVerzögerungszeitinMinuten.

l Installieren Sie Microsoft Visual C++ 2005 Redistributable Package auf dem Client-System.

l FührenSiedasDienstprogrammktpass auf dem Active Directory-Server aus.

DRAC5isteinGerätmiteinemNicht-Windows-Betriebssystem.DeshalbmüssenSiedasDienstprogrammktpass (Teil von Microsoft

®

Windows

) auf

demDomänen-Controller (Active Directory-Server)ausführen,woSieDRAC5einemBenutzerkontoinActiveDirectoryzuordnenmöchten.

Beispiel:VerwendenSiedenfolgendenktpass-Befehl, um die Kerberos-Keytab-Datei zu erstellen:

C:\>ktpass -princ HOST/dracname.Domänenname.com@Domänenname.COM -mapuser Benutzername -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass *

-out c:\krbkeytab

Im obigen Befehl muss Domänenname durchdenaktuellenDomänennameninGroßbuchstabenersetztwerden.DerBenutzernamemusseingültiges

Konto im Active Directory sein. Der Benutzername muss im Format Domänennamen.com/Benutzername angegeben werden.

DervonDRAC5fürdieKerberos-AuthentifizierungverwendeteVerschlüsselungstyplautetDES-CBC-MD5. Der Prinzipaltyp lautet KRB5_NT_PRINCIPAL.

Dieses Verfahren erstellt eine Keytab-Datei,dieSiezuDRAC55hochladenmüssen.

ANMERKUNG: Stellen Sie sicher, dass der DNS-Name durch den DNS-Serveraufgelöstwird.

ANMERKUNG: Es wird empfohlen, das neueste ktpass-Dienstprogramm zum Erstellen der Keytab-Datei zu verwenden.